在 PhishER 平台上，您可使用 PhishML，对用户收件箱中的消息进行处置并对电子邮件威胁设定优先级。PhishML 是一项机器学习功能，可分析 PhishER 收件箱中的消息，并确定每条消息为安全邮件、垃圾邮件或威胁邮件的确信百分比或置信度值。

通过 PhishML，您可设置消息置信度值必须满足或超过的相应阈值，才能执行自动处置。然后，您可创建操作，这些操作会使用 PhishML 标签，对 PhishER 收件箱中的消息进行自动处置和优先级排序。

PhishML 正在不断根据已报告电子邮件内容中使用的语言来学习和提高准确性。当您在 KSAT 账户设置的 Phish Alert 部分中启用向我们发送副本设置时，PhishML 只会从被发送到 KnowBe4 的已报告网络钓鱼电子邮件中进行学习。在提取文本并忽略消息中的嵌入式内容之后，如果通过 PhishER 中已分析的其他消息识别到相应模式，则 PhishML 会将语言与模式进行比较。

启用 PhishML

要为 PhishER 平台启用 PhishML，请按照以下步骤操作：

1. 登录您的 PhishER 平台。
2. 选择 Settings > PhishML。
3. 打开 Enable PhishML 切换开关。
   注意：第一次启用 PhishML 时，会出现条款和条件对话框。使用 PhishML 前，您需要查看并接受 KnowBe4 的隐私政策和服务条款。查看这两项内容后，即可单击 I Accept。
4. 若想 PhishML 在分析消息时为相应类别提供置信度值，请选中每个类别旁边的复选框。
5. （可选）要为每个类别设置自定义阈值，可单击并向左或向右拖动互动滑块。有关更多信息，请参见以下设置置信度值和阈值部分。
6. 单击 Save，更新 PhishML 设置。

设置置信度值和阈值

PhishML 会为所分析的每条消息生成三个置信度值。置信度值表示安全邮件、垃圾邮件或威胁邮件的确信百分比。打开 Message Details 页面侧边栏的 Actions 子选项卡，可查看消息的置信度值。

置信度阈值是指 PhishML 必须满足或超过的最小确信百分比，用于将消息标记为安全邮件、垃圾邮件或威胁邮件。只有启用置信度阈值，PhishML 才能对符合条件的消息应用标签。打开 PhishER Settings，可启用或禁用置信度阈值。启用置信度阈值后，即可单击并拖动该值旁边的滑块，设置自定义阈值。每个置信度阈值均可设为 51 至 100 之间的任何自定义值。每个置信度阈值默认设为 95。

若想增加被 PhishML 自动标记为安全邮件、垃圾邮件或威胁邮件的消息数量，我们建议设置较低的置信度阈值（低于 80）。为 PhishML 设置较低的置信度阈值，可令其识别出属于垃圾邮件或威胁邮件的消息。通过此设置，PhishER 管理员能够快速解决或排除安全消息，并对需要进一步分析或审查的消息设定优先级。

若想减少被 PhishML 标记为安全邮件、垃圾邮件或威胁邮件的消息数量，我们建议设置较高的置信度阈值（高于 85）。为 PhishML 设置较高的置信度阈值，可令其识别出属于安全邮件的消息。通过此设置，PhishER 管理员能够对需要进一步分析或审查的消息设定优先级。

PhishML 标签

根据 PhishML 的分析，PhishML 会对每条消息应用标签。打开 Message Details 页面侧边栏的 Actions 子选项卡，可查看 PhishML 附加至消息的标签。另外，您还可添加和移除标签。如需了解 PhishML 标签，请查看以下列表：

• PML:CLEAN：当 PhishML 根据您的置信度阈值确定消息为安全邮件时，此标签将附加至您的消息。
• PML:SPAM：当 PhishML 根据您的置信度阈值确定消息为垃圾邮件时，此标签将附加至您的消息。
• PML:THREAT：当 PhishML 根据您的置信度阈值确定消息为威胁邮件时，此标签将附加至您的消息。
• PML:BYPASSED：当 PhishML 操作超时后，此标记将附加至您的消息。针对消息重新运行规则和操作，即可重试。然后，如果 PhishML 操作成功，会向消息添加适当的标签。

通过 PhishML 标签创建推荐操作

您设置 PhishML 后，我们建议使用 PhishML 标签来设置三个操作，有利于您的组织快速识别和响应电子邮件威胁。如需了解每个推荐操作的设置，请参见以下子部分。

PML:THREAT（高优先级消息）

创建此操作，可帮助您的组织对属于潜在恶意邮件并需要进一步分析的消息进行识别和设定优先级。要创建此操作，请设定步骤 1、2 和 3，以便匹配下列设置：

1. Choose how this action should be triggered：我们建议选择 Specify Tags 选项。然后，选择 Has Any 并输入“PML:THREAT”作为标签。
2. Choose the action to be taken on matched messages：我们建议选择 Set Status、Set Priority 和 Set Category 选项。然后，设置下拉菜单，匹配下列设置：
   • Set Status (设置状态)：选择 In Review。
   • Set Priority (设置优先级)：选择 Critical。
   • Set Category (设置类别)：选择 Threat。
3. Choose how you would like to report this action：我们建议选择下列任一选项：
   • 创建自定义电子邮件回复，可自动发送回复给已选定收件人。如需详细了解此选项，请参阅本文的“为 PhishML 操作创建自定义电子邮件”部分。
   • 创建快速操作，可在手动运行快速操作时向已选定收件人发送自动回复。如需详细了解此选项，请参阅本文的“为 PhishML 操作创建快速操作”部分。

选择这些设置后，即可为操作配置其余设置。有关更多推荐设置，请参阅以下“为 PhishML 操作创建自定义电子邮件”和“为 PhishML 操作创建快速操作”部分。有关其余设置的通用信息，请参阅文章如何创建和管理 PhishER 操作。

PML:CLEAN（中优先级消息）

创建此操作，可帮助您的组织对属于安全邮件的消息进行识别和设定优先级。要创建此操作，请设定步骤 1、2 和 3，以便匹配下列设置：

1. Choose how this action should be triggered：我们建议选择 Specify Tags 选项。然后，选择 Has Any 并输入“PML:CLEAN”作为标签。
2. Choose the action to be taken on matched messages：我们建议选择 Set Status、Set Priority 和 Set Category 选项。然后，设置下拉菜单，匹配下列设置：
   • Set Status (设置状态)：选择 Resolved。
   • Set Priority (设置优先级)：选择 Medium。
   • Set Category (设置类别)：选择 Clean
3. Choose how you would like to report this action：我们建议选择下列任一选项：
   • 创建自定义电子邮件回复，可自动发送回复给已选定收件人。如需详细了解此选项，请参阅本文的“为 PhishML 操作创建自定义电子邮件”部分。
   • 创建快速操作，可在手动运行快速操作时向已选定收件人发送自动回复。如需详细了解此选项，请参阅本文的“为 PhishML 操作创建快速操作”部分。

选择这些设置后，即可为操作配置其余设置。有关更多推荐设置，请参阅以下“为 PhishML 操作创建自定义电子邮件”和“为 PhishML 操作创建快速操作”部分。有关其余设置的通用信息，请参阅文章如何创建和管理 PhishER 操作。

PML:SPAM（低优先级消息）

创建此操作，可帮助您的组织对确定为来历不明但不太可能为恶意邮件的消息进行识别和设定优先级。要创建此操作，请设定步骤 1、2 和 3，以便匹配下列设置：

1. Choose how this action should be triggered：我们建议选择 Specify Tags 选项。然后，选择 Has Any 并输入“PML:SPAM”作为标签。
2. Choose the action to be taken on matched messages：我们建议选择 Set Status、Set Priority 和 Set Category 选项。然后，设置下拉菜单，匹配下列设置：
   • Set Status (设置状态)：选择 Resolved。
   • Set Priority (设置优先级)：选择 Low。
   • Set Category (设置类别)：选择 Spam。
3. Choose how you would like to report this action：我们建议选择下列任一选项：
   • 创建自定义电子邮件回复，可自动发送回复给已选定收件人。如需详细了解此选项，请参阅本文的“为 PhishML 操作创建自定义电子邮件”部分。
   • 创建快速操作，可在手动运行快速操作时向已选定收件人发送自动回复。如需详细了解此选项，请参阅本文的“为 PhishML 操作创建快速操作”部分。

选择这些设置后，即可为操作配置其余设置。有关更多推荐设置，请参阅以下为 PhishML 操作创建自定义电子邮件和为 PhishML 操作创建快速操作部分。有关其余设置的通用信息，请参阅文章如何创建和管理 PhishER 操作。

为您的 PhishML 操作创建自定义电子邮件

要在运行操作时自动发送通知，可创建自定义电子邮件回复，PhishER 将自动发送回复给已选定收件人。如需了解如何自定义此电子邮件回复，请参阅文章如何在 PhishER 中创建自定义电子邮件模板。

要设置电子邮件回复并为您的操作配置其余设置，请设定步骤 3、4、5 和 6，以便匹配下列设置：

1. Choose how you would like to report this action：我们建议选择 Send Email。
2. （可选）Choose whether or not to halt further actions：我们建议选中 Stop executing further actions 复选框。如果选择此选项，则可在触发其他操作之前，查看由您的操作添加 PhishML 标签的所有消息。
3. Choose QuickActions settings：我们建议保留默认设置。
4. Choose whether or not to permanently delete matching messages：我们建议保留默认设置。

为您的 PhishML 操作创建快速操作

要手动报告您的操作，可创建快速操作。当您运行快速操作时，该操作将自动向已选定收件人发送电子邮件回复。

要设置快速操作并为您的操作配置其余设置，请设定步骤 3、4、5 和 6，以便匹配下列设置：

1. Choose how you would like to report this action：我们建议选择 None。
2. （可选）Choose whether or not to halt further actions：选中 Stop executing further actions 复选框。如果选择此选项，则可在触发其他操作之前，查看由您的操作添加 PhishML 标签的所有消息。
3. Choose QuickActions settings：我们建议保留默认设置。
4. Choose whether or not to permanently delete matching messages：我们建议保留默认设置。

保存新操作后，您需要创建快速操作，该操作会在运行时自动发送电子邮件回复。要创建此快速操作，请设定新操作步骤，以便匹配下列设置：

1. Choose how this action should be triggered：我们建议选择 Manual Trigger Only。此设置可防止操作自动运行。从 Run 下拉菜单或 QuickActions 栏中选择此设置，即可手动运行操作。有关更多信息，请查看以下步骤 5。
2. Choose the action to be taken on matched messages：我们建议保留默认设置。
3. Choose how you would like to report this action：我们建议选择 Send Email。使用电子邮件模板，创建自定义电子邮件回复。如需了解如何自定义此电子邮件回复，请参阅文章如何在 PhishER 中创建自定义电子邮件模板。

1. Choose whether or not to halt further actions：我们建议保留默认设置。
2. Choose QuickActions settings：我们建议选中 Include this action in the QuickAction bar 左侧的复选框。此操作将立即显示在 PhishER Inbox 的 QuickActions 栏中以及 Message Details 页面的 Actions 子选项卡中。
3. Choose whether or not to permanently delete matching messages：我们建议保留默认设置。